Pandemi tak pelak menghadirkan tantangan baru bagi perusahaan dalam menjaga keamanan informasi. Di saat yang sama, perusahaan juga harus mempercepat transformasi. Apa strategi para pemimpin TI menghadapi situasi ini?
Saat keprihatinan melanda dunia akibat pandemi COVID-19, para threat actor justru seperti memperoleh durian runtuh. Tak disangka-sangka, ada peluang-peluang baru untuk melancarkan ancaman-ancaman maya, baik kepada pengguna individu, perusahaan, maupun institusi pemerintahan.
Di sisi user, pandemi telah mengaburkan batas antara kerja dan kehidupan pribadi. Sementara perusahaan harus menghadapi cara kerja hibrida di saat bisnis juga tengah berupaya mempercepat melakukan migrasi ke cloud. Dan pemerintah di berbagai negara di dunia pun dipusingkan oleh urusan data dan privasi, terutama terkait aktivitas tracing dalam upaya menangani COVID-19.
Dengan berbagai perubahan besar yang terjadi di tahun 2020, Trend Micro pun menyoroti tantangan keamanan TI di tahun 2021 ini dalam laporan yang berjudul Turning The Tide. Hal ini menjadi penting diketahui mengingat aspek keamanan harus senantiasa melindungi setiap strategi maupun inovasi bisnis yang akan digulirkan oleh perusahaan. Dan semua itu harus dilakukan di tengah kelangkaan talenta di bidang IT Security.
Dalam ajang InfoKomputer CIO Forum berjudul “Menyelaraskan Strategi Cyber Security dengan Transformasi Digital” yang digelar beberapa waktu lalu, sejumlah CISO/CIO perusahaan Indonesia membeberkan bagaimana mereka menjawab tantangan IT security saat ini dan di masa depan, terutama dalam kaitannya dengan situasi pandemi yang masih harus kita hadapi sampai saat ini.
Perlindungan Tradisional Tak Lagi Memadai
Laksana Budiwiyono, Country Manager Trend Micro di Indonesia memaparkan sejumlah tantangan yang harus dihadapi organisasi TI, mulai dari work from home dengan berbagai risiko keamanannya, hingga isu keamanan data perusahaan dan pemanfaatan API oleh bisnis dengan risikonya.
Dan seperti telah dikemukakan oleh Trend Micro sejak tahun lalu, Laksana menekankan bahwa paradigma lama, di mana jaringan terlindung di belakang corporate firewall, sudah tidak memadai lagi untuk menghadapi tantangan keamanan masa kini. Cara-cara perlindungan tradisional tidak lagi cukup untuk melindungi sebuah ekosistem yang menjalankan berbagai sistem dan platform.
Bahkan saat ini, menurut penelitian Trend Micro, window time antara saat pertama ditemukannya celah keamanan sampai saat vendor merilis patch rata-rata mencapai 81 hari. Tentunya hal ini bisa menjadi celah yang dimanfaatkan oleh para aktor ancaman.
Mengantisipasi berbagai tantangan baru ini, Trend Micro merekomendasikan perusahaan untuk memfokuskan pada beberapa hal: pelatihan, kontrol akses, basic security dan patching, keahlian di bidang keamanan dan deteksi ancaman.
Dampak Pandemi Terhadap Transformasi di Berbagai Industri
Salah satu dampak pandemi terhadap berbagai organisasi dan perusahaan adalah terakselerasinya transformasi digital.
“Ya, yang menjadi dampak utama (dari pandemi ini) adalah akselerasi terhadap inisiatif-inisiatif yang sifatnya lebih digital,” Wahyu Agung Prasetyo, Information Security Management Head, Bank Danamon Indonesia mengiyakan. Inisiatif-inisiatif yang sebenarnya disiapkan untuk dilaksanakan dalam kurun waktu 3 sampai 5 tahun ke depan kini harus dieksekusi oleh tim TI Bank Danamon. .
Sebagai akibatnya, perusahaan harus menata kembali alokasi sumber dayanya, misalnya dari sisi anggaran. ”Belum lagi dari sisi kompetensi people. Ketika kita bicara digital, tidak semua orang paham dengan digitalisasi, dan misalnya (SDM) yang tadinya internal apakah harus di-outsource dan sebagainya. Ini menjadi dampak yang cukup signifikan juga bagi institusi perbankan,” ujar Wahyu.
Percepatan transformasi juga memengaruhi tata kelola dari sisi teknologi maupun informasi. Misalnya, ketika perusahaan menerapkan cara kerja WFH dan karyawan bekerja menggunakan perangkat mobile, pertimbangan keamanan dan tata kelolanya pun berubah, seperti koneksi, transmisi, akses terhadap aplikasi.
Mengantisipasi cara kerja baru WFH, demi menjaga kelangsungan layanan nasabah, Bank Danamon secara khusus menerbitkan pedoman WFH. “VPN juga lebih ketat, dalam profiling aplikasi, tidak semua (aplikasi) kami buka untuk yang bisa diakses dari rumah atau dari mana saja, tentu saja dengan memerhatikan kebutuhan operasional bisnis dari sisi produktivitas, dan keamanan data nasabah,” jelas Wahyu.
Aat Ruhimat, praktisi IT GRC dan Audit di industri keuangan, juga melihat akselerasi transformasi digital ini berdampak pada kemudahan adopsi teknologi yang mendukung cara-cara kerja a la pandemi.
“Mungkin collaboration tools sudah mulai diimplementasikan, tapi adopsinya ke seluruh elemen perusahaan itu lama. Tapi setelah adanya pandemi ini, adopsi jadi lebih mudah, seluruh perusahaan pun jadi menggunakannya,” ujar Aat.
Toyota Astra Motor pun mengalami hal yang sama. “COVID ini tiba-tiba menjadi trigger untuk mempercepat digital transformation. Demikian pula di TAM, rencana-rencana kita speed up dan ada beberapa yang baru yang harus segera kita apply karena kebutuhan customer, seperti virtual outlet, virtual showroom, dan kita juga ada virtual event,” cerita Chief Information Officer, Toyota Astra Motor, Darmadi.
Keamanan Siber Adalah Urusan Setiap Orang
Lantas, bagaimana organisasi TI mengawal percepatan transformasi yang terjadi? Aat Ruhimat menawarkan solusi pertahanan tiga lapis a la perbankan. Di lapisan pertama adalah unit kerja, baik tim TI maupun tim bisnis. “Security requirement, security awareness, kemampuan-kemampuan mendesain solusi yang secure sambil mendeliver pengalaman yang menyenangkan untuk nasabah itu harus dimulai dari sini,” jelas Aat.
Kemudian di lapisan kedua ada tim manajemen risiko dan kepatuhan. Tim ini harus memiliki visibilitas risiko keamanan siber yang komprehensif dan terbarukan untuk kemudian dibahas bersama jajaran direksi dan komite manajemen risiko.
“Di layer tiga adalah audit. Manajemen membutuhkan audit untuk melihat apakah kontrol yang kita punya terkait cyber security di perusahaan ini sudah memadai atau belum, apakah perlu perbaikan,” jelas Aat. Menurutnya, tim audit ini harus dibekali dengan kapablitas dan pengetahuan yang memadai untuk menghadapi risiko keamanan siber masa kini. “Misalnya, bagaimana cara mengaudit keamanan cloud, agile development, dan lain-lain,” imbuhnya.
Diakui oleh Aat bahwa tidak semua perusahaan dan industri memiliki kapabilitas dan sumber daya untuk menerapkan tiga lapisan keamanan ini. Namun, menurutnya, yang terpenting untuk dimiliki oleh setiap perusahaan dan organisasi adalah kerangka berpikir atau mindset bahwa keamanan siber adalah urusan bersama, bukan hanya urusan orang TI. “Karena nanti yang akan kena (dampaknya) adalah satu perusahaan, jadi saya kira mindset itu yang perlu kita tanamkan,” ujar Aat.
Sebagai bagian dari korporasi global, Toyota Astra Motor bisa lebih tenang karena perusahaan induk yang berada di Jepang sudah menyiapkan panduan (guideline) terkait keamanan bahkan sebelum pandemi. Oleh karena itu, saat pandemi melanda, Darmadi dan timnya tinggal memastikan standar-standar dalam panduan tadi telah diimplementasikan dengan baik. “Kemudian dari guideline yang ada kami juga perkuat dengan pengamanan yang lebih mengarah pada endpoint atau klien,” Darmadi menambahkan.
Agar Adopsi Cloud dan API Lebih Aman
Dengan akselerasi transformasi digital ini, perusahaan dan organisasi pun harus menghadapi risiko-risiko yang berpotensi muncul dari adopsi teknologi atau lingkungan baru, misalnya saat perusahaan memindahkan infrastruktur, aplikasi, data, atau workload ke cloud. Bagi Bank Danamon, kepatuhan terhadap regulator masih menjadi pertimbangan mutlak dalam migrasi ke cloud.
Pertimbangan penting lainnya adalah memiliki visibilitas menyeluruh tentang ketahanan cloud provider. “Jangan sampai providernya belum mengadopsi security framework atau data security standard yang ada. Kemudian perangkat dan proteksi jaringannya seperti apa, dan yang tidak kalah pentingnya adalah identity security, ini harus kita managed,” jelas Wahyu, Sementara dari sisi internal, perusahaan juga harus secara cermat melakukan inventarisasi aset yang akan dipindahkan ke cloud, yang tentu saja dilakukan berdasarkan risk assessment.
Selain cloud, teknologi lain yang sudah masuk dalam agenda transformasi digital banyak perusahaan saat ini adalah API. Namun kehadiran API ini tentu saja memperluas attack surface dalam cyber security, karena serangan bisa masuk melalui API-nya sendiri, aplikasi, perusahaan, dan penggunanya.
Untuk mengadopsi API secara lebih aman, Laksana menyarankan perusahaan mengikuti protokol Payment Service Directives (PSD) 2. Salah satu aturan yang ditetapkan dalam PSD 2 adalah strong customer authentication, yaitu autentikasi berdasarkan dua atau lebih elemen. Kategori elemen tersebut adalah knowledge (sesuatu yang hanya user yang tahu, misalnya, password atau PIN); possession (sesuatu yang hanya user yang punya, seperti security token); dan inherence (sesuatu yang merupakan bagian dari user, misalnya biometric fingerprint atau voice recognition). Di samping itu, Laksana Budiwiyono menekankan pada pentingnya menanamkan awareness pada user.
Jangan Andalkan Kesadaran Manusia
Dalam rantai keamanan, manusia kerap menjadi mata rantai terlemah. Sehati-hati apapun, suatu saat pengguna bisa tergelincir dan melakukan kesalahan. Oleh karena itu awareness menjadi sangat penting dalam keamanan siber.
“Berbicara tentang people awareness ini memang agak unik. Kalau teknologi pasti ada patch-nya. Nah, kalau manusia, bagaimana nambalnya?,” ujar Aat Ruhimat. Di sisi lain, materi awareness yang harus disampaikan ke user semakin hari semakin banyak. Lima tahun lalu, tim IT security tidak perlu menyampaikan social media awareness dan WFH awareness. Namun hari ini, kesadaran tentang dua hal itu harus ditumbuhkan.
Aat Ruhimat menyarankan beberapa langkah yang dapat dilakukan tim TI untuk menumbuhkan awareness di kalangan pengguna.
Pertama, buat daftar prioritas perilaku atau awareness apa yang ingin ditingkatkan perusahaan. “Phishing bisa menjadi langkah awal yang bagus, atau secure coding, misalnya. Pilih materi awareness yang dapat menutup risiko terbesar,” anjur Aat.
Langkah kedua adalah menyusun program awareness berdasarkan prioritas tersebut dan sesuaikan program dengan target audience. “Gunakan cara-cara yang lebih engaging misalnya, gamification. Kita bisa bekerja sama dengan tim learning di perusahaan, atau misalnya bekerja sama dengan vendor untuk mengadakan kompetisi secure coding. Itu bisa jadi sarana awareness yang engaging,” ujar Aat.
Bagaimana cara menerapkan awareness di jajaran manajemen? Aat menyarankan tim TI secara rutin menggelar forum khusus dengan manajemen untuk menyampaikan kondisi perusahaan terkait keamanan siber, risiko, dampak dan langkah-langkah yang perlu dilakukan perusahaan.
“Setelah kita melakukan program-program awareness tadi yang penting kita lakukan setelah itu adalah mengukur awareness yang terbentuk. Misalnya, sebelum program, kita lakukan phishing test, ada 10 ribu orang yang kena. Setelah program, kita lakukan lagi phishing test dan harapannya jumah yang kena berkurang tentunya,” kata Aat.
Selain itu, Aat juga menyarankan agar perusahaan juga membantu karyawan mengamankan aktivitas pribadinya. “Jangan hanya fokus pada menjaga informasi perusahaan tapi kita juga bantu jaga data atau informasi pribadi karyawan,” ujar Aat.
Akhirnya, ia juga mengingatkan bahwa program awareness tidak bisa dilakukan sekali dua kali. Program ini harus dilakukan secara berulang-ulang dan terus dipantau sehingga membuahkan hasil.
Menurutnya, menanamkan awareness adalah “never ending battle” karena manusia adalah mata rantai terlemah dalam rantai sekuriti. “Contoh, kalau kita mengandalkan password untuk melindungi sistem pasti kita akan terus bertarung dengan yang namanya password awareness,” ujarnya. Oleh karena itu solusinya, menurut Aat, adalah menerapkan security by design pada sistem dan tidak mengandalkan awareness manusia.
Di sisi teknologi, Trend Micro menawarkan beberapa tool dan layanan keamanan, seperti phishing test, analisis, dan pelatihan phishing awareness; tool untuk cyber risk awareness; dan cybersecurity assessment.
“Kami bisa bantu banyak tapi tidak bisa selesaikan semua (persoalan), pasti kita juga harus kerja sama dengan pemain security lainnya,” ujar Laksana.